Nom : FragmentStack. Matricule : CVE-2018-5391. Risque posé : déni de service.
Cette faille est au menu du Patch Tuesday de septembre 2018. Dans l’alerte qui lui est dédiée, Microsoft suggère une mesure de contournement : désactiver la reconstitution des paquets IP*.
FragmentStack affecte précisément cette opération qui intervient en dernier lieu dans le processus de segmentation IP.
Ledit processus consiste à découper des paquets pour les adapter aux capacités de réception (MTU, « maximum transmission unit ») de la station destinataire. Il est mis en œuvre notamment pour assurer le transfert de données entre des réseaux physiques différents.
La méthode présente plusieurs inconvénients, dont le fait que l’assemblage des paquets est entièrement dévolu au destinataire.
FragmentStack exploite ce goulet d’étranglement de manière à consommer toutes les ressources processeur, la machine ciblée finissant par planter. Il représente, en ce sens, une énième variante de l’attaque dite « Teardrop » et connue depuis des décennies.
Toutes les versions de Windows – client et serveur – encore prises en charge abritent la faille ; pas les VM Azure. Désactiver la reconstitution des paquets élimine la vulnérabilité, mais augmente le risque de perdre des données.
FragmentSmack avait été rendu public au mois d’août, des suites d’une découverte d’un chercheur des Nokia Labs. L’intéressé avait constaté que la vulnérabilité, connue de longue date sous d’autres formes, était devenue exploitable sur Linux depuis la version 3.9 du noyau. Ce à cause de l’accroissement de la file de traitement des paquets IP.
Une autre faille avait été publiée en parallèle. Nommée SegmentSmack, elle ne se fonde sur l’injection de paquets TCP. Ses déclinaisons CVE-2018-5390 et CVE-2018-6922 touchent respectivement Linux (version 4.9 et ultérieures) et FreeBSD (à partir de la 10.4).
Des correctifs sont à disposition pour les principales distributions Linux, y compris Android. D’Akamai à Zyxel, de nombreux fournisseurs d’équipements et/ou de services de réseau, de stockage ou encore de sécurité ont eu à les déployer.
L’équipe Debian recommande, en cas d’impossibilité d’appliquer un patch, de paramétrer /proc/sys/net/ipv4 pour fixer à 192 et 256 ko les seuils minimal et maximal de la fragmentation IP.
* Avec les commandes Netsh int ipv4 set global reassemblylimit=0 et Netsh int ipv6 set global reassemblylimit=0
Crédit photo : ministère allemand de la Défense
Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…
Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…